home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9308 < prev    next >
Text File  |  1993-03-26  |  5KB  |  97 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9308                  DISA Defense Communications System
  4. March 26, 1993              Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9308).
  18. **************************************************************************
  19.  
  20.                            PASSWORD MANAGEMENT
  21.  
  22.   REFERENCES:
  23.  
  24.   o  DCA Circular 310 P115-1, DDN Security Management Procedures
  25.      for Host Administrators (Volume 1), dated May 1991.
  26.  
  27.   o  CSC-STD-002-85, Department of Defense Password Management
  28.      Guideline, dated 12 April 1985.
  29.  
  30.  
  31.   The Defense Information Systems Agency continually strives to improve
  32.   its' resources for providing a reasonable level of security for the
  33.   Defense Data Network.  This bulletin is meant to reinforce emphasis
  34.   on password management.
  35.  
  36.   Individual accountability is the key to securing and controlling any
  37.   system that processes information on behalf of individuals or groups
  38.   of individuals.  A number of requirements must be met in order to
  39.   satisfy this objective.  The first requirement is for individual user
  40.   identification.  Second, there is a need for authentication.  Without
  41.   authentication, user identification has no credibility.  The security
  42.   provided by a PASSWORD system depends on the passwords being kept secret
  43.   at all times.
  44.  
  45.   Host Administrators must assure that passwords are kept secret by their
  46.   users.  Host Administrators must also assure that passwords are robust
  47.   enough to thwart exhaustive attack by password cracking mechanisms,
  48.   changed periodically and that password files are adequately protected.
  49.  
  50.   Passwords should be changed at least annually.  Encryption of stored
  51.   passwords should be used whenever the access control mechanisms provided
  52.   by the ADP system are not adequate to prevent exposure of the stored
  53.   passwords and even when other access controls are considered adequate,
  54.   as this helps protect against possible exposure when normal access
  55.   controls are bypassed (e.g., System Dumps).  Encryption of the password
  56.   should be done immediately upon entry, the memory containing the plain
  57.   text password should be erased immediately upon encryption and only the
  58.   encrypted password should be used for comparison.  It is recommended
  59.   that the password typed in by the user is not echoed, when the system
  60.   cannot prevent the password from being echoed, it is recommended that
  61.   a random overprint mask be displayed before of after the password is
  62.   entered, as appropriate, to conceal the typed password.  The length of
  63.   the password should be, at a minimum, six (6) alphanumeric characters.
  64.  
  65.   It is also recommended that users memorize their passwords and not write
  66.   them on any medium.  If passwords must be written, they should be
  67.   protected in a manner that is consistent with the damage that could be
  68.   caused by their compromise.
  69.  
  70.   IT IS CONSIDERED A SECURITY VIOLATION TO MAKE KNOWN, SHARE, OR EXPOSE
  71.   ALL OPERATIONAL PASSWORDS AND ACCESS CODES.
  72.  
  73.   It is recommended that each accumulation of five (5) consecutive
  74.   unsuccessful login attempts from a single access port or against
  75.   a single user ID results in the immediate notification of the
  76.   event to the ADP system operator or the System Security Officer.
  77.  
  78.   Formal investigations of unauthorized or illegal activities occurring
  79.   on the Defense Data Network (DDN) must be coordinated with the DDN
  80.   Network Security Officer (DDNNSO).  Individuals suspected of unauthorized
  81.   access to or use of host computers over the DDN will be subject to
  82.   prosecution under title 18 of the federal criminal code.
  83.  
  84. ****************************************************************************
  85. *                                                                          *
  86. *    The point of contact for MILNET security-related incidents is the     *
  87. *    Security Coordination Center (SCC).                                   *
  88. *                                                                          *
  89. *               E-mail address: SCC@NIC.DDN.MIL                            *
  90. *                                                                          *
  91. *               Telephone: 1-(800)-365-3642                                *
  92. *                                                                          *
  93. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  94. *    Monday through Friday except on federal holidays.                     *
  95. *                                                                          *
  96. ****************************************************************************
  97.